ECLI:NL:RBNHO:2022:7329

Rechtbank Noord-Holland

Datum uitspraak
16 augustus 2022
Publicatiedatum
16 augustus 2022
Zaaknummer
HAA 22-1049
Instantie
Rechtbank Noord-Holland
Type
Uitspraak
Rechtsgebied
Bestuursrecht
Uitkomst
Afwijzend
Procedures
  • Eerste aanleg - enkelvoudig
Rechters
  • J.M. Janse van Mantgem
Vindplaatsen
  • Rechtspraak.nl
Aangehaalde wetgeving Pro
Art. 82 AVGArt. 34 Uitvoeringswet AVGArt. 8:4 AwbArt. 7:1 AwbArt. 8:88 Awb
AI samenvatting door LexboostAutomatisch gegenereerd

Afwijzing schadevergoeding na datalek gemeente Heemskerk wegens onvoldoende onderbouwing immateriële schade

In deze bestuursrechtelijke zaak verzocht een inwoner van de gemeente Heemskerk om een schadevergoeding van € 2.000,- wegens immateriële schade als gevolg van een datalek in juli 2019. Het datalek bestond uit het niet aankomen van een procesdossier met persoonsgegevens en medische gegevens bij een lid van een hoor- en adviescommissie, waardoor deze gegevens mogelijk toegankelijk waren voor derden.

De verzoekster stelde dat zij door het datalek stress- en angstklachten had ontwikkeld en vreest voor identiteitsfraude en misbruik van haar gegevens. Ter onderbouwing overlegde zij e-mails van een maatschappelijk werker en huisarts. Het college van burgemeester en wethouders erkende het datalek en verwijtbaar gedrag, maar betwistte dat er sprake was van daadwerkelijke schade of aantasting van de persoon.

De rechtbank oordeelde dat de verzoekster onvoldoende concrete en objectieve gegevens had aangeleverd waaruit geestelijk letsel of een aantasting van haar persoon kon worden vastgesteld. De enkele schending van een fundamenteel recht leidt niet automatisch tot vergoeding. Omdat geen aanwijzingen bestonden dat de gegevens waren misbruikt en de medische stukken summier waren, wees de rechtbank het verzoek om schadevergoeding af. Het beroep was gegrond wegens procedurele fouten van het college, maar de vergoeding werd niet toegekend.

Uitkomst: Het verzoek om schadevergoeding wegens immateriële schade na een datalek wordt afgewezen wegens onvoldoende onderbouwing.

Uitspraak

RECHTBANK NOORD-HOLLAND
Bestuursrecht
zaaknummer: HAA 22/1049

uitspraak van de enkelvoudige kamer van 16 augustus 2022 in de zaak tussen

[eiseres], uit [woonplaats], eiseres

(gemachtigde: mr. P.E. Stam),
en
het college van burgemeester en wethouders van de gemeente Heemskerk, het college
(gemachtigde: mr. L.M.M. Schenk).

Inleiding

1.1.
In deze uitspraak beoordeelt de rechtbank het verzoek van eiseres om schadevergoeding op grond van de Algemene verordening gegevensbescherming (AVG) [1] .
1.2.
De rechtbank heeft het verzoek op 12 juli 2022 op zitting behandeld. Hieraan hebben deelgenomen: de gemachtigde van eiseres en de gemachtigde van het college.

De procedure

2.
2.1.
Voor wat betreft de gevolgde procedure geldt het volgende.
2.2.
Eiseres stelt dat zij immateriële schade lijdt door een datalek en heeft op 1 juni 2021 aan het college op grond van artikel 82 van Pro de AVG verzocht om schadevergoeding.
2.3.
Het college heeft het verzoek van eiseres met een besluit van 27 juli 2021 afgewezen. Met het besluit van 10 januari 2022 heeft het college op een bezwaar van eiseres beslist en is bij de afwijzing gebleven. Eiseres heeft hiertegen beroep ingesteld. Het college heeft op het beroep gereageerd met een verweerschrift.
2.4.
Het college heeft niet onderkend dat met de invoering van titel 8.4 in de Algemene wet bestuursrecht (Awb) op grond van artikel 8:4, eerste lid, aanhef en onder f, van de Awb de mogelijkheid is vervallen om beroep in te stellen tegen een besluit inzake vergoeding van schade wegens onrechtmatig bestuurshandelen. Dan kan op grond van artikel 7:1 van Pro de Awb ook geen bezwaar worden gemaakt. Het college had het bezwaar tegen het besluit van 27 juli 2021 niet-ontvankelijk moeten verklaren. De rechtbank zal het besluit van 10 januari 2022 daarom vernietigen. Het beroep is gegrond.
3.
3.1.
De rechtbank behandelt het onderhavige beroep verder als een verzoek om schadevergoeding als bedoeld in artikel 8:88 van Pro de Awb in verbinding met artikel 82 AVG Pro en beoordeelt of eiseres aanspraak maakt op schadevergoeding. [2]
3.2.
Uit het voorgaande volgt dat eiseres ten minste acht weken voordat een verzoek om schadevergoeding bij de rechtbank is gedaan het college schriftelijke heeft gevraagd om vergoeding van de schade. Hiermee is voldaan aan artikel 8:90, tweede lid, van de Awb.

Beslissing van de rechtbank

4. De rechtbank kent aan eiseres geen schadevergoeding toe. De rechtbank legt deze beslissing hierna uit.

Overwegingen

Wet- en regelgeving
5.
5.1.
Op 25 mei 2018 is AVG van toepassing geworden en is vanaf die datum rechtstreeks toepasselijk in elke lidstaat (artikel 99, derde lid, van de AVG). De AVG heeft onmiddellijke werking en is dus van toepassing op zowel het verzoek om schadevergoeding van 1 juni 2021 als de beoordeling van het gestelde onrechtmatig handelen in juli 2019.
5.2.
Voor de relevante wet- en regelgeving verwijst de rechtbank naar de bijlage die onderdeel uitmaakt van deze uitspraak.
Het voorval
6. Eiseres heeft in een andere op haar betrekking hebbende zaak een bezwaarschrift ingediend en het college heeft in die zaak een procesdossier samengesteld waarin de persoons- en medische gegevens van eiseres staan. Voor de behandeling van het bezwaar heeft het college kennelijk een hoor- en adviescommissie aangewezen. Het college heeft het procesdossier naar de leden van de hoor- en adviescommissie gestuurd. Eén van de leden van deze commissie heeft het procesdossier niet ontvangen. Dan is sprake van een datalek. Het college heeft het datalek gemeld bij de Autoriteit Persoonsgegevens en bij eiseres. Eiseres zegt dat het college haar heeft laten weten dat door het niet aankomen van het procesdossier bij een van de commissieleden haar adresgegevens, burgerservicenummer, contactgegevens en medische gegevens voor derde(n) toegankelijk zijn (geweest).
Het verzoek om schadevergoeding
7.1.
Eiseres stelt dat zij immateriële schade lijdt door het datalek en vindt een schadevergoeding van € 2.000,- op zijn plaats.
7.2.
Op grond van artikel 6:106 van Pro het Burgerlijk Wetboek (BW) stelt zij recht te hebben op een naar billijkheid vast te stellen schadevergoeding indien (sub b) de benadeelde ‘op andere wijze in zijn persoon’ is aangetast. Daarvan is in dit geval sprake omdat zij psychisch letsel heeft opgelopen. Het feit dat derden over haar medische en overige privégegevens kunnen beschikken leidt bij eiseres tot stress- en angstklachten. Zij vreest dat de gegevens voor criminele doeleinden zullen worden gebruikt zoals identiteitsfraude. Zeker nu het dossier vermist is. Ook bij het postbedrijf. Eiseres zal de rest van haar leven extra alert moeten zijn op verdachte brieven, e-mails en fishing pogingen van derden in de post, digitaal en telefonisch. Ook is eiseres kwetsbaar omdat haar medische gegevens zich ook in het dossier bevinden. Voor toekenning van schadevergoeding hoeft volgens eiseres niet vast te staan dat haar gegevens zijn misbruikt.
7.3.
Ter onderbouwing van haar schade heeft eiseres een e-mail van 2 september 2021 van een maatschappelijk werker en een e-mail van de huisarts van 4 november 2021 overgelegd. De aard en de ernst van de normschending leidt volgens eiseres tot nadelige gevolgen die voor de hand liggen.
Het standpunt van het college
8.
8.1.
Eiseres heeft volgens het college niet aannemelijk gemaakt dat de inbreuk op de AVG heeft geleid tot aantasting van haar integriteit en dat de gevolgen van de inbreuk haar rechtstreeks hebben getroffen. Het feit dat sprake is van een datalek brengt niet automatisch met zich dat daarmee ook schade is ontstaan die vergoed moet worden. Het gaat niet om ernstig verwijtbaar gedrag met zo ernstige gevolgen, dat aantasting van de persoon kan worden aangenomen. De kans dat er daadwerkelijk een onbevoegde toegang heeft gekregen tot haar gegevens is zeer gering. Dat het dossier bij de postverwerker is kwijtgeraakt maakt volgens verweerder niet dat haar persoonsgegevens misbruikt zullen worden. Er zijn ook geen aanwijzingen dat de gegevens zijn misbruikt. Het dossier is in juli 2019 zoekgeraakt. Als de gegevens nu nog niet zijn misbruikt is het onwaarschijnlijk dat dat op enig moment nog gaat gebeuren.
8.2.
Eiseres heeft haar stelling dat sprake is van aantasting van haar persoon ‘op andere wijze’, zoals bedoeld in artikel 6:106, aanhef en onder b, van het BW niet met concrete gegevens onderbouwd. Eiseres is er niet in geslaagd haar (psychische) schade met concrete objectieve gegevens te onderbouwen. De e-mails van de maatschappelijk werker en de huisarts zijn onvoldoende. De stelling dat zij stress- en angstklachten heeft waarover zij met derden praat is onvoldoende om vast te stellen dat van deze klachten sprake is. Het is zeker onvoldoende om vast te stellen dat deze door de vermissing komen. Eiseres had ook al voor de vermissing contact met hulpverleners. Uit de e-mails blijkt niet waarvoor zij bij hen is. De hulpverleners schrijven zeer summier over het onderwerp. Er kan daarom niet naar objectieve maatstaven worden vastgesteld dat sprake is van geestelijk letsel.
Beoordeling van het verzoek om schadevergoeding
9.
9.1.
Het college bestrijdt niet dat de verwerking van de persoonsgegevens van eiseres (het datalek) onrechtmatig is en impliciet erkent het college dat dat komt door verwijtbaar gedrag van het college.
9.2.
Voor de beoordeling van een verzoek om vergoeding van immateriële schade wordt, volgens vaste jurisprudentie van de Afdeling [3] aansluiting gezocht bij het civiele schadevergoedingsrecht.
Artikel 6:106 van Pro het BW luidt:
Voor nadeel dat niet in vermogensschade bestaat, heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding:
[…]
b. indien de benadeelde lichamelijk letsel heeft opgelopen, in zijn eer of goede naam is geschaad of op andere wijze in zijn persoon is aangetast;
[…]"
Van de in dit artikel bedoelde aantasting in persoon ‘op andere wijze’ is in ieder geval sprake indien de benadeelde partij geestelijk letsel heeft opgelopen. Degene die zich hierop beroept, zal voldoende concrete gegevens moeten aanvoeren waaruit kan volgen dat in verband met de omstandigheden van het geval psychische schade is ontstaan. Daartoe is vereist dat naar objectieve maatstaven het bestaan van geestelijk letsel kan worden vastgesteld. Ook als het bestaan van geestelijk letsel in voornoemde zin niet kan worden aangenomen, is niet uitgesloten dat de aard en de ernst van de normschending en van de gevolgen daarvan voor de benadeelde, meebrengen dat van de bedoelde aantasting in zijn persoon ‘op andere wijze’ sprake is. In zo een geval zal degene die zich hierop beroept de aantasting in zijn persoon met concrete gegevens moeten onderbouwen. Dat is slechts anders indien de aard en de ernst van de normschending meebrengen dat de in dit verband relevante nadelige gevolgen daarvan voor de benadeelde zo voor de hand liggen, dat een aantasting in de persoon kan worden aangenomen. Van een aantasting in de persoon ‘op andere wijze’ als hier bedoeld is niet reeds sprake bij de enkele schending van een fundamenteel recht [4] .
9.3.
Niet gebleken is dat de gegevens van eiseres bij derden terecht zijn gekomen. Eiseres heeft geen identiteitsfraude ondervonden en geen verdachte brieven, fishing mails of telefoontjes ontvangen die in verband kunnen worden gebracht met het datalek.
Naar het oordeel van de rechtbank komt eiseres niet in aanmerking voor schadevergoeding nu zij niet met concrete en objectieve gegevens heeft onderbouwd dat zij ten gevolge van het datalek geestelijk letsel heeft opgelopen en van een aantasting in de persoon ‘op andere wijze’ als hiervoor bedoeld niet reeds sprake is bij de enkele schending van een fundamenteel recht. Uit de e-mails van de maatschappelijk werker en de huisarts blijkt enkel dat zij praat over haar dossiervermissing respectievelijk de kwestie met de gemeente. De overgelegde e-mails rechtvaardigen niet de conclusie dat sprake is van geestelijk letsel.

Conclusie

10. Het beroep is gegrond. Eiseres krijgt daarom het griffierecht terug. Voor een vergoeding van de proceskosten ziet de rechtbank geen aanleiding omdat het verzoek om schadevergoeding zal worden afgewezen.

Beslissing

De rechtbank:
  • verklaart het beroep gegrond;
  • vernietigt het bestreden besluit;
  • verklaart het bezwaar niet-ontvankelijk;
  • draagt verweerder op het door eiseres betaalde griffierecht van € 184,- te vergoeden;
  • wijst het verzoek om schadevergoeding af.
Deze uitspraak is gedaan door mr. J.M. Janse van Mantgem, rechter, in aanwezigheid van
F. Voskamp, griffier. De uitspraak is uitgesproken in het openbaar op 16 augustus 2022.
griffier
rechter
Een afschrift van deze uitspraak is verzonden aan partijen op:

Informatie over hoger beroep

Een partij die het niet eens is met deze uitspraak, kan een hogerberoepschrift sturen naar de Afdeling bestuursrechtspraak van de Raad van State waarin wordt uitgelegd waarom deze partij het niet eens is met deze uitspraak. Het hogerberoepschrift moet worden ingediend binnen zes weken na de dag waarop deze uitspraak is verzonden.
BIJLAGE
Algemene verordening gegevensbescherming
Artikel 82 luidt Pro als volgt:
1. Eenieder die materiële of immateriële schade heeft geleden ten gevolge van een inbreuk op deze verordening, heeft het recht om van de verwerkingsverantwoordelijke of de verwerker schadevergoeding te ontvangen voor de geleden schade.
2 Elke verwerkingsverantwoordelijke die bij verwerking is betrokken, is aansprakelijk voor de schade die wordt veroorzaakt door verwerking die inbreuk maakt op deze verordening. Een verwerker is slechts aansprakelijk voor de schade die door verwerking is veroorzaakt wanneer bij de verwerking niet is voldaan aan de specifiek tot verwerkers gerichte verplichtingen van deze verordening of buiten dan wel in strijd met de rechtmatige instructies van de verwerkingsverantwoordelijke is gehandeld.
3 Een verwerkingsverantwoordelijke of verwerker wordt van aansprakelijkheid op grond van lid 2 vrijgesteld indien hij bewijst dat hij op geen enkele wijze verantwoordelijk is voor het schadeveroorzakende feit.
4 Wanneer meerdere verwerkingsverantwoordelijken of verwerkers bij dezelfde verwerking betrokken zijn, en overeenkomstig de leden 2 en 3 verantwoordelijk zijn voor schade die door verwerking is veroorzaakt, wordt elke verwerkingsverantwoordelijke of verwerker voor de gehele schade aansprakelijk gehouden teneinde te garanderen dat de betrokkene daadwerkelijk wordt vergoed.
5 Wanneer een verwerkingsverantwoordelijke of verwerker de schade overeenkomstig lid 4 geheel heeft vergoed, kan deze verwerkingsverantwoordelijke of verwerker op andere verwerkingsverantwoordelijken of verwerkers die bij de verwerking waren betrokken, het deel van de schadevergoeding verhalen dat overeenkomt met hun deel van de aansprakelijkheid voor de schade, overeenkomstig de in lid 2 gestelde voorwaarden.
6 Gerechtelijke procedures voor het uitoefenen van het recht op schadevergoeding worden gevoerd voor de in artikel 79, lid 2, bedoelde lidstaatrechtelijk bevoegde gerechten.
Uitvoeringswet Algemene verordening gegevensbescherming
Artikel 34 luidt Pro als volgt:
Een schriftelijke beslissing op een verzoek als bedoeld in de artikelen 15 tot en met 22 van de verordening wordt genomen binnen de in artikel 12, derde lid, van de verordening genoemde termijnen en geldt, voor zover deze is genomen door een bestuursorgaan, als een besluit in de zin van de Algemene wet bestuursrecht.
Algemene wet bestuursrecht
Artikel 8:88 luidt Pro als volgt:
1. De bestuursrechter is bevoegd op verzoek van een belanghebbende een bestuursorgaan te veroordelen tot vergoeding van schade die de belanghebbende lijdt of zal lijden als gevolg van:
a. een onrechtmatig besluit;
b. een andere onrechtmatige handeling ter voorbereiding van een onrechtmatig besluit;
c. het niet tijdig nemen van een besluit;
d. een andere onrechtmatige handeling van een bestuursorgaan waarbij een persoon als bedoeld in artikel 8:2, eerste lid, onder a, zijn nagelaten betrekkingen of zijn rechtverkrijgenden belanghebbende zijn.
2. Het eerste lid is niet van toepassing indien het besluit van beroep bij de bestuursrechter is uitgezonderd.
Artikel 8:90 luidt Pro als volgt:
1. Het verzoek wordt schriftelijk ingediend bij de bestuursrechter die bevoegd is kennis te nemen van het beroep tegen het besluit.
2. Ten minste acht weken voor het indienen van het in het eerste lid bedoelde verzoekschrift vraagt de belanghebbende het betrokken bestuursorgaan schriftelijk om vergoeding van de schade, tenzij dit redelijkerwijs niet van hem kan worden gevergd.
Burgerlijk Wetboek
Artikel 6:106 luidt Pro als volgt:
Voor nadeel dat niet in vermogensschade bestaat, heeft de benadeelde recht op een naar billijkheid vast te stellen schadevergoeding:
indien de aansprakelijke persoon het oogmerk had zodanig nadeel toe te brengen;
indien de benadeelde lichamelijk letsel heeft opgelopen, in zijn eer of goede naam is geschaad of op andere wijze in zijn persoon is aangetast;
indien het nadeel gelegen is in aantasting van de nagedachtenis van een overledene en toegebracht is aan de niet van tafel en bed gescheiden echtgenoot, de geregistreerde partner of een bloedverwant tot in de tweede graad van de overledene, mits de aantasting plaatsvond op een wijze die de overledene, ware hij nog in leven geweest, recht zou hebben gegeven op schadevergoeding wegens het schaden van zijn eer of goede naam.

Voetnoten

1.Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming).
2.Zie ook ECLI:NL:RVS:2020:898
3.Zie bijvoorbeeld ECLI:NL:RVS:2020:898
4.Zie de arresten van de Hoge Raad van 15 maart 2019, ECLI:NL:HR:2019:376, r.o.4.2.2, van 28 mei 2019, ECLI:NL:HR:2019:793, r.o. 2.4.5. en van 19 juli 2019, ECLI:NL:HR:2019:1278, r.o. 2.13.2.